Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

TDEZertifikate für lokale Datenbanken sichern und wiederherstellen

PDF
RSS
Fokusmodus
TDEZertifikate für lokale Datenbanken sichern und wiederherstellen - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können TDE Zertifikate für lokale Datenbanken sichern und sie später auf RDS dem Server wiederherstellen. SQL Sie können ein RDS for SQL TDE Server-Zertifikat auch auf einer lokalen DB-Instance wiederherstellen.

Mit dem folgenden Verfahren werden ein TDE Zertifikat und ein privater Schlüssel gesichert. Der private Schlüssel wird mit einem Datenschlüssel verschlüsselt, der aus Ihrem symmetrischen KMS Verschlüsselungsschlüssel generiert wurde.

Um ein lokales Zertifikat zu sichern TDE

  1. Generieren Sie den Datenschlüssel mit dem AWS CLI generate-data-keyBefehl.

    aws kms generate-data-key \
    --key-id my_KMS_key_ID \
    --key-spec AES_256

    Die Ausgabe sieht in etwa folgendermaßen aus.

    {
"CiphertextBlob": "AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==",
"Plaintext": "U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=",
"KeyId": "arn:aws:kms:us-west-2:123456789012:key/1234abcd-00ee-99ff-88dd-aa11bb22cc33"
}

    Sie verwenden die Nur-Text-Ausgabe im nächsten Schritt als Passwort für den privaten Schlüssel.

  2. Sichern Sie Ihr TDE Zertifikat, wie im folgenden Beispiel gezeigt.

    BACKUP CERTIFICATE myOnPremTDEcertificate TO FILE = 'D:\tde-cert-backup.cer'
WITH PRIVATE KEY (
FILE = 'C:\Program Files\Microsoft SQL Server\MSSQL14.MSSQLSERVER\MSSQL\DATA\cert-backup-key.pvk',
ENCRYPTION BY PASSWORD = 'U/fpGtmzGCYBi8A2+0/9qcRQRK2zmG/aOn939ZnKi/0=');

  3. Speichern Sie die Sicherungsdatei des Zertifikats in Ihrem Amazon-S3-Zertifikat-Bucket.

  4. Speichern Sie die Sicherungsdatei für den privaten Schlüssel in Ihrem S3-Zertifikat-Bucket mit dem folgenden Tag in den Metadaten der Datei:

    • Schlüssel: x-amz-meta-rds-tde-pwd

    • Wert: Der Wert CiphertextBlob aus der Generierung des Datenschlüssels (siehe folgendes Beispiel).

      AQIDAHimL2NEoAlOY6Bn7LJfnxi/OZe9kTQo/XQXduug1rmerwGiL7g5ux4av9GfZLxYTDATAAAAfjB8BgkqhkiG9w0B
BwagbzBtAgEAMGgGCSqGSIb3DQEHATAeBglghkgBZQMEAS4wEQQMyCxLMi7GRZgKqD65AgEQgDtjvZLJo2cQ31Vetngzm2ybHDc3d2vI74SRUzZ
2RezQy3sAS6ZHrCjfnfn0c65bFdhsXxjSMnudIY7AKw==

Das folgende Verfahren stellt ein RDS for SQL TDE Server-Zertifikat auf einer lokalen DB-Instance wieder her. Sie kopieren und stellen das TDE Zertifikat auf Ihrer Ziel-DB-Instance mithilfe der Zertifikatsicherung, der entsprechenden privaten Schlüsseldatei und des Datenschlüssels wieder her. Das wiederhergestellte Zertifikat wird durch den Datenbank-Hauptschlüssel des neuen Servers verschlüsselt.

Um ein TDE Zertifikat wiederherzustellen

  1. Kopieren Sie die Sicherungsdatei des TDE Zertifikats und die Datei mit dem privaten Schlüssel von Amazon S3 auf die Ziel-Instance. Weitere Informationen zum Kopieren von Dateien aus Amazon S3 finden Sie unter Dateien zwischen RDS for SQL Server und Amazon S3 übertragen.

  2. Verwenden Sie Ihren KMS Schlüssel, um den ausgegebenen Chiffriertext zu entschlüsseln und den Klartext des Datenschlüssels abzurufen. Der Verschlüsselungstext befindet sich in den S3-Metadaten der Sicherungsdatei für private Schlüssel.

    aws kms decrypt \
    --key-id my_KMS_key_ID \
    --ciphertext-blob fileb://exampleCiphertextFile | base64 -d \
    --output text \
    --query Plaintext

    Sie verwenden die Nur-Text-Ausgabe im nächsten Schritt als Passwort für den privaten Schlüssel.

  3. Verwenden Sie den folgenden SQL Befehl, um Ihr Zertifikat wiederherzustellen. TDE

    CREATE CERTIFICATE myOnPremTDEcertificate FROM FILE='D:\tde-cert-backup.cer'
WITH PRIVATE KEY (FILE = N'D:\tde-cert-key.pvk',
DECRYPTION BY PASSWORD = 'plain_text_output');

Weitere Informationen zur KMS Entschlüsselung finden Sie unter decrypt im KMS Abschnitt der AWS CLI Befehlsreferenz.

Nachdem das TDE Zertifikat auf der Ziel-DB-Instance wiederhergestellt wurde, können Sie verschlüsselte Datenbanken mit diesem Zertifikat wiederherstellen.

Anmerkung

Sie können dasselbe TDE Zertifikat verwenden, um mehrere SQL Serverdatenbanken auf der Quell-DB-Instance zu verschlüsseln. Um mehrere Datenbanken zu einer Ziel-Instance zu migrieren, kopieren Sie das ihnen zugeordnete TDE Zertifikat nur einmal in die Ziel-Instance.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.